Een hackgroep die sterk wordt verdacht van banden met de Russische overheid heeft iPhone-gebruikers in Oekraïne actief uitgebuit met geavanceerde nieuwe tools die zijn ontworpen om persoonlijke gegevens en mogelijk cryptocurrency te stelen. Cybersecurity-onderzoekers bij Google, iVerify en Lookout hebben de campagne geïdentificeerd, gekoppeld aan een eerder ontdekte operatie, en hebben de nieuwe toolkit ‘Darksword’ genoemd.
Escalatie van iPhone-hackmogelijkheden
De ontdekking van Darksword volgt op de voet na de onthulling van een andere geavanceerde hacktool, Coruna, eerder in maart. Coruna werd aanvankelijk ontwikkeld door de Amerikaanse defensie-aannemer L3Harris voor westerse inlichtingendiensten (waaronder de Five Eyes-alliantie) voordat het werd geadopteerd door Russische spionnen en Chinese cybercriminelen. De opkomst van twee van dergelijke tools suggereert dat zeer capabele iPhone-hackspyware toegankelijker is dan eerder werd gedacht. Opvallend is dat beide campagnes zich bijna uitsluitend op Oekraïense doelen hebben gericht, wat duidt op een zekere mate van terughoudendheid ondanks het mondiale potentieel van de instrumenten.
Darksword: een ‘smash-and-grab’-operatie
In tegenstelling tot op surveillance gerichte spyware die is ontworpen voor langdurige toegang, lijkt Darksword geoptimaliseerd voor snelle gegevensexfiltratie. De toolkit steelt wachtwoorden, foto’s, berichten (van WhatsApp en Telegram) en browsegeschiedenis en verdwijnt vervolgens snel. Onderzoekers schatten dat de malware slechts ‘minuten’ actief blijft op een apparaat, afhankelijk van de hoeveelheid gestolen gegevens. Dit suggereert dat de nadruk primair ligt op het onmiddellijk verzamelen van inlichtingen in plaats van op langdurig toezicht.
“De meest waarschijnlijke verklaring is dat de hackers geïnteresseerd waren in het levenspatroon van de slachtoffers, waardoor ze niet voortdurend in de gaten moesten worden gehouden, maar eerder een ‘smash-and-grab’-operatie moesten uitvoeren”, zegt Rocky Cole, medeoprichter van iVerify.
Dubbele motieven: spionage en financieel gewin
Darksword bevat ook mogelijkheden voor het stelen van cryptocurrency uit populaire portemonnee-apps, een ongebruikelijke toevoeging voor een vermoedelijk door de staat gesteunde hackgroep. Hoewel onderzoekers niet zeker weten of de hackers actief op zoek waren naar financieel gewin, duidt het vermogen van de malware om crypto te stelen op een financieel gemotiveerde operatie of op een steeds groter wordende reikwijdte van de Russische cyberactiviteit. Het modulaire ontwerp van Darksword, waardoor de functionaliteit eenvoudig kan worden uitgebreid, duidt verder op professionele ontwikkeling.
Attributie en implicaties
Beveiligingsexperts wijzen er in overweldigende mate op dat de Russische regering achter Darksword zit. Lookout-onderzoekers bevestigen dat dezelfde groep die verantwoordelijk is voor de Coruna-campagne er waarschijnlijk bij betrokken is. Justin Albrecht van Lookout beschrijft de acteur als “goed gefinancierd en verbonden”, die aanvallen uitvoert in overeenstemming met de vereisten van de Russische inlichtingendienst. De campagne zelf was breed opgezet en infecteerde Oekraïense gebruikers die gecompromitteerde websites bezochten terwijl ze in het land waren.
De toenemende verfijning en toegankelijkheid van iPhone-hacktools zorgen voor ernstige zorgen over de toekomst van mobiele beveiliging. Het feit dat deze tools oorspronkelijk van westerse aannemers afkomstig zijn voordat ze door tegenstanders werden overgenomen, onderstreept de gevaren van technologie voor tweeërlei gebruik in het cyberdomein. Deze nieuwste campagne versterkt de behoefte aan verhoogde waakzaamheid en verbeterde verdediging tegen door de staat gesponsorde hacking.
